Dass ein Gast während eines Hotelaufenthaltes verschiedenste Informationen von sich preisgibt und er in der Folge sogar Gefahr läuft, gegenüber dem Hotelbetreiber gläsern zu sein, stellten wir bereits in unserem ersten Teil der Beitragsreihe fest. Doch nicht nur beim Check-In-Prozess erhebt der Hotelier Daten von seinen Gästen. Vielmehr können Gäste während ihres Aufenthaltes auf Wunsch gewisse, zum Teil nicht separat abrechenbare, Extraleistungen, wie beispielsweise freies WLAN oder Poolnutzung, in Anspruch nehmen oder sie werden in bestimmten Bereichen auf einer Videoüberwachungskamera aufgenommen.

Erstellen von Kundenprofilen

Informationen über Ess- und Trinkgewohnheiten, Begleitpersonen, Besucher, Gesundheitszustände, Behinderungen, sexuelle Orientierung sowie Freizeitverhalten – alles Eigenarten von Gästen, über die ein Hotelier in der Regel neben den in Anspruch genommenen nicht separat zu vergütenden Zusatzleistungen Kenntnis erlangt und sich entsprechende Notizen fertigt. Dabei handelt es sich ebenfalls um personenbezogene Daten iSd. § 3 BSDG, woraus sich dann zusammen mit den ohnehin aufgrund des Meldegesetzes erlangten Daten durchaus das eine oder andere detaillierte Profil eines Gastes erstellen lässt. Von Seiten des Hotels wird ein solches Vorgehen damit gerechtfertigt, dass man auf den Gast bei seinem nächsten Besuch vorbereitet ist und daher optimaler auf ihn eingehen könne. Gleichwohl sollte sich der Hotelbetreiber darüber bewusst sein, dass diese Art von Daten gerade nicht der geschuldeten Leistungserbringung und -abrechnung aus dem Beherbergungsvertrag dient, sodass sowohl das Erheben, Verarbeiten und Nutzen solcher Daten als auch die Datenweitergabe an Dritte der ausdrücklichen Einwilligungserklärung des Gastes bedarf. Um eine solche Einwilligung des Gastes wirksam einzuholen, muss die Erklärung einen bestimmten Inhalt haben. Wie schon des Öfteren thematisiert bedarf es iSd. § 4a BDSG einer vorherigen, ausdrücklich freiwilligen, eindeutigen, schriftlichen Erklärung, in welcher der Gast über den Zweck und Umfang der Einwilligung informiert sowie über die jederzeitige Widerrufbarkeit der Erklärung hingewiesen wird (vgl. z.B. hier).

Nimmt ein Gast während seines Aufenthaltes demgegenüber extra abzurechnende Zusatzleistungen in Anspruch, wie etwa Pay-TV, Wellnessleistungen oder Getränke aus der Minibar, ist es zulässig, diese Daten ohne Einwilligung des Gastes zu speichern (vgl. § 28 Abs. 1 Satz 1 Nr. 1 BDSG). Nach Abreise bzw. Begleichung des Betrages sind die Daten jedoch unverzüglich, das heißt ohne schuldhaftes Zögern was einem sofortigen Handeln sehr nahe kommt, zu löschen (vgl. § 35 Abs. 2 BDSG).

Darüber hinaus ist Vorsicht geboten bei Hotels derselben Kette. Agieren die verschiedenen Häuser als rechtlich eigenständige Personen, sind sie ebenfalls Dritte im datenschutzrechtlichen Sinn, sodass bereits die Weitergabe von Daten der Hotelgäste zwischen den Hotels nicht einfach so möglich ist (kein Konzernprivileg), sondern wiederum einer Einwilligung bedarf. Ein diesbezüglicher pauschaler Hinweis in den AGBs, wie etwa „[…] Durch das Bestätigen der AGBs willigt der Gast in eine umfangreiche Weitergabe sämtlicher personenbezogener Daten iSd. § 4 Abs. 1 BDSG ein […]“ ist daher nicht ausreichend.

Videoüberwachung

… ebenfalls ein durchaus wichtiges Thema im Hotelgewerbe. Grundsätzlich ist eine Videoüberwachung nur zur Wahrung des Hausrechts und Erhöhung der Sicherheit der Gäste zulässig (§ 6b Abs. 1 BDSG). Klar unzulässig ist eine Videoüberwachung demgegenüber in Hotelzimmern, im Restaurant, in Toilettenräumen oder im Wellness-Bereich, aber ebenso in der Küche und in Bereichen, die Angestellten vorbehalten sind. In der Regel kann die Lobby und das Außengelände überwacht werden. Für eine zulässige Videoüberwachung sind allerdings auch hier strenge Regeln zu beachten. So ist eine Kennzeichnung der überwachten Bereiche unumgänglich. Die Speicherdauer ist so kurz wie möglich zu halten und darf 48 Stunden, so die Orientierungshilfe, nicht überschreiten. Der Düsseldorfer Kreis, die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, hat zudem eine Orientierungshilfe speziell für die „Videoüberwachung durch nicht-öffentliche Stellen“ herausgegeben, welche auf Detailfragen eingeht und zur Hilfe herangezogen werden kann.

– und darüber hinaus? Was muss ein Hotelier noch alles tun?

Wichtig ist, dass alle Mitarbeiter des Hotels auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Zudem sollten allgemeine datenschutzrechtliche Standards, wie ein Verfahrensverzeichnis über alle Verfahren, in denen personenbezogene Daten verarbeitet werden oder die nach § 11 BDSG notwendigen Verträge zur Auftragsdatenverarbeitung mit externen Dienstleistern, beispielsweise Auslagerung von Kundenzufriedenheitsbefragungen, gewahrt sein.

Des Weiteren von erheblicher Bedeutung auf Seiten des Hoteliers ist, dass er bei eingesetzten Datenverarbeitungsprogrammen einen angemessen Datenschutz gewährleistet. Wie stellt er das an? Ganz einfach: Durch Treffen und vor allem durch Einhalten von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen (vgl. § 9 BDSG iVm. der Anlage zu § 9 BDSG). Im Einzelnen sind dies folgende Sicherheitsmaßnahmen, von denen wir einige in unserer Beitragsreihe „TOM und der Datenschutz“ schon konkret dargestellt haben:

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (Zutrittskontrolle);
  2. Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle);
  3. Gewährleisten, dass die zur Nutzung Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zurückgreifen können (Zugriffskontrolle);
  4. Gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten erfolgt (Weitergabekontrolle);
  5. Gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle);
  6. Gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle);
  7. Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) und
  8. Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Trennungsprinzip).

Fazit

Wenn also der Gast bei seinem nächsten Hotelaufenthalt diverse Informationen angeben soll, sollte er sich stets fragen, ob das tatsächlich relevant bzw. notwendig ist für den dortigen Aufenthalt. Zudem sollte er nicht leichtfertig mit der Erteilung einer Einwilligung in die Datenverarbeitung umgehen. Demgegenüber hat der Hotelier einen angemessen Datenschutz zu gewährleisten, was für den einen oder anderen nicht zuletzt angesichts der oft umständlich einzuholenden Einwilligung des Gastes eine gewisse Hürde darstellen könnte. Na dann kann der nächste Urlaub ja kommen!